Halaman ini diterjemahkan oleh Cloud Translation API.

VMware Carbon Black Cloud

Dokumen ini memberikan panduan bagi administrator tentang cara mengonfigurasi dan mengintegrasikan VMware Carbon Black Cloud dengan modul SOAR Google Security Operations.

Versi integrasi: 32.0

Ringkasan

Integrasi VMware Carbon Black Cloud membantu Anda melakukan tugas berikut:

Menyerap peristiwa dan pemberitahuan VMware Carbon Black Cloud untuk membuat pemberitahuan.

Google SecOps menggunakan pemberitahuan untuk melakukan orkestrasi dengan playbook atau analisis manual.
Lakukan tindakan pengayaan.

Mendapatkan data dari VMware Carbon Black Cloud untuk memperkaya data dalam pemberitahuan Google SecOps.
Melakukan tindakan aktif.

Jadwalkan pemindaian dan karantina host di Google SecOps SOAR menggunakan agen VMware Carbon Black Cloud.

Integrasi ini menggunakan satu atau beberapa komponen open source. Anda dapat mendownload salinan kode sumber lengkap integrasi ini dari bucket Cloud Storage.

Prasyarat

Bagian ini berlaku untuk konfigurasi integrasi awal. Untuk memastikan bahwa data mengalir sesuai yang diharapkan dari VMware Carbon Black Cloud ke Google SecOps, selesaikan langkah-langkah yang tercantum di bagian ini di VMware Carbon Black Cloud.

Untuk mengonfigurasi akses API untuk integrasi VMware Carbon Black Cloud, selesaikan langkah-langkah berikut:

Konfigurasi tingkat akses.
Membuat Kunci API.

Integrasi ini memiliki batasan. Untuk mengetahui informasi selengkapnya tentang batasan, lihat Mengonfigurasi Penggantian Reputasi dalam dokumentasi VMware Carbon Black Cloud.

Mengonfigurasi tingkat akses

Untuk mengonfigurasi tingkat akses untuk integrasi VMware Carbon Black Cloud, selesaikan langkah-langkah berikut:

Di konsol VMware Carbon Black Cloud, buka Settings > API Access.
Pilih Tingkat Akses.
Klik Tambahkan Tingkat Akses.

Berikan nama dan deskripsi untuk tingkat akses baru, lalu pilih izin berikut:

Kategori	Nama izin	.Nama notasi	Jenis izin
Notifikasi	Informasi umum	org.alerts	Baca
Notifikasi	Tutup	org.alerts.dismiss	Jalankan
Perangkat	Karantina	device.quarantine	Jalankan
Perangkat	Melewati	device.bypass	Jalankan
Perangkat	Informasi umum	device	Baca
Perangkat	Penugasan polisi	device.policy	Perbarui
Perangkat	Pemindaian latar belakang	device.bg-scan	Jalankan
Telusuri	Acara	org.search.events	Buat Baca

Klik Simpan.

Membuat kunci API

Untuk membuat kunci API untuk integrasi VMware Carbon Black Cloud, selesaikan langkah-langkah berikut:

Di konsol VMware Carbon Black Cloud, buka Settings > API Access > API Keys.
Klik Tambahkan Kunci API.
Masukkan nama untuk kunci dan pilih tingkat akses yang Anda buat di bagian sebelumnya.
Klik Save untuk mendapatkan pasangan kunci rahasia API dan ID API Anda.

Simpan nilai kunci rahasia API Anda karena Anda tidak dapat mengambilnya lagi nanti.

Mengintegrasikan VMware Carbon Black Cloud dengan Google SecOps

Untuk mengonfigurasi atau mengedit parameter integrasi, Anda harus disertakan dalam grup izin Administrator di Google SecOps. Untuk mengetahui detail selengkapnya tentang grup izin bagi pengguna, lihat Bekerja dengan grup izin.

Gunakan parameter berikut untuk mengonfigurasi integrasi:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Instance	String	Tidak berlaku	Tidak	Nama instance yang ingin Anda konfigurasi integrasinya.
Deskripsi	String	Tidak berlaku	Tidak	Deskripsi instance.
Root API	String	`https://defense.conferdeploy.net/`	Ya	URL root VMware Carbon Black Cloud API.
Kunci Organisasi	String	Tidak berlaku	Ya	Kunci organisasi VMware Carbon Black Cloud.
ID API	String	Tidak berlaku	Ya	ID VMware Carbon Black Cloud API (ID kunci API kustom).
Kunci Rahasia API	String	Tidak berlaku	Ya	Kunci rahasia API VMware Carbon Black Cloud (kunci rahasia API kustom).
Verifikasi SSL	Kotak centang	Dipilih	Tidak	Jika dipilih, Google SecOps akan memverifikasi bahwa sertifikat SSL untuk koneksi ke server VMware Carbon Black Cloud valid.
Menjalankan dari Jarak Jauh	Kotak centang	Tidak dipilih	Tidak	Centang kotak untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah Anda mencentang kotak, opsi untuk memilih pengguna jarak jauh (agen) akan muncul.

Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.

Anda dapat mengubah konfigurasi di tahap berikutnya, jika diperlukan. Setelah mengonfigurasi instance, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi mendetail tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.

Tindakan

Ping

Uji konektivitas ke VMware Carbon Black Cloud.

Parameter

Tidak ada.

Kasus penggunaan

Tindakan ini menguji konektivitas saat dijalankan dari halaman konfigurasi integrasi di tab Google SecOps Marketplace. Anda dapat menjalankan tindakan ini secara manual, tetapi Anda tidak dapat menggunakannya dalam playbook.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Tabel pengayaan	Tidak tersedia
Hasil JSON	Tidak tersedia
Hasil skrip	Tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Ping:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pesan output

Di Repositori Kasus, tindakan Ping memberikan pesan output berikut:

Pesan output Deskripsi pesan

Successfully connected to the VMware Carbon Black Cloud server with the provided connection parameters! Tindakan berhasil.

Pesan output	Deskripsi pesan
`Successfully connected to the VMware Carbon Black Cloud server with the provided connection parameters!`	Tindakan berhasil.
`Failed to connect to the VMware Carbon Black Cloud server! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Failed to connect to the VMware Carbon Black Cloud server! Error
      is ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Memperkaya Entitas

Memperkaya entitas Alamat IP atau Host SOAR Google SecOps berdasarkan informasi perangkat dari VMware Carbon Black Cloud.

Tindakan ini berjalan di entity berikut:

Alamat IP
Host

Kasus penggunaan

Memperkaya entitas host atau IP SOAR Google SecOps dengan informasi dari VMware Carbon Black Cloud, jika agen Carbon Black diinstal pada entitas host atau alamat IP yang sesuai.

Untuk membantu petugas penanganan insiden menyelidiki kemungkinan peringatan malware dari host yang menginstal sensor, VMware Carbon Black Cloud dapat memberikan data pengayaan seperti informasi host, status sensor, dan kebijakan Carbon Black-nya.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tersedia
Hasil skrip	Tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia

Pengayaan entitas

Kolom pengayaan	Penerapan
CB_Cloud.device_id	Selalu
CB_Cloud.antivirus_status	Selalu
CB_Cloud.antivirus_last_scan_time	Jika informasi ditampilkan dalam hasil JSON
CB_Cloud.owner_email	Jika informasi ditampilkan dalam hasil JSON
CB_Cloud.owner_first_name	Jika informasi ditampilkan dalam hasil JSON
CB_Cloud.owner_last_name	Jika informasi ditampilkan dalam hasil JSON
CB_Cloud.last_contact_time	Selalu
CB_Cloud._last_device_policy_changed_time	Jika informasi ditampilkan dalam hasil JSON
CB_Cloud.last_external_ip_address	Selalu
CB_Cloud.last_internal_ip_address	Selalu
CB_Cloud.last_location	Selalu
CB_Cloud.full_device_name	Selalu
CB_Cloud.organization_id	Selalu
CB_Cloud.organization_name	Selalu
CB_Cloud.device_os	Jika informasi ditampilkan dalam hasil JSON
CB_Cloud.device_os_version	Jika informasi ditampilkan dalam hasil JSON
CB_Cloud.passive_mode	Selalu
CB_Cloud.device_policy_id	Selalu
CB_Cloud.device_policy_name	Selalu
CB_Cloud.device_policy_override	Jika benar
CB_Cloud.quarantined	Selalu
CB_Cloud.scan_status	Jika informasi ditampilkan dalam hasil JSON
CB_Cloud.sensor_out_of_date	Selalu
CB_Cloud.sensor_states	Selalu
CB_Cloud.sensor_version	Selalu
CB_Cloud.device_status	Selalu

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya Entitas:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Perkaya Entitas:

{
    "results": [
      {
        "activation_code": null,
        "activation_code_expiry_time": "2020-04-28T05:05:37.391Z",
        "ad_group_id": 649,
        "av_ave_version": null,
        "av_engine": "",
        "av_last_scan_time": null,
        "av_master": false,
        "av_pack_version": null,
        "av_product_version": null,
        "av_status": [
          "AV_DEREGISTERED"
        ],
        "av_update_servers": null,
        "av_vdf_version": null,
        "current_sensor_policy_name": "vmware-example",
        "deregistered_time": "2020-04-21T07:31:22.285Z",
        "device_meta_data_item_list": [
          {
            "key_name": "OS_MAJOR_VERSION",
            "key_value": "Windows 10",
            "position": 0
          },
          {
            "key_name": "SUBNET",
            "key_value": "10.0.2",
            "position": 0
          }
        ],
        "device_owner_id": 439953,
        "email": "User",
        "first_name": null,
        "id": 3401539,
        "last_contact_time": "2020-04-21T07:30:21.614Z",
        "last_device_policy_changed_time": "2020-04-21T05:05:57.518Z",
        "last_device_policy_requested_time": "2020-04-21T07:12:34.803Z",
        "last_external_ip_address": "198.51.100.209",
        "last_internal_ip_address": "203.0.113.15",
        "last_location": "OFFSITE",
        "last_name": null,
        "last_policy_updated_time": "2020-04-09T11:19:01.371Z",
        "last_reported_time": "2020-04-21T07:14:33.810Z",
        "last_reset_time": null,
        "last_shutdown_time": "2020-04-21T06:41:11.083Z",
        "linux_kernel_version": null,
        "login_user_name": null,
        "mac_address": "000000000000",
        "middle_name": null,
        "name": "<span class='hlt1'>WinDev2003Eval</span>",
        "organization_id": 1105,
        "organization_name": "cb-internal-alliances.com",
        "os": "WINDOWS",
        "os_version": "Windows 10 x64",
        "passive_mode": false,
        "policy_id": 36194,
        "policy_name": "vmware-example",
        "policy_override": false,
        "quarantined": false,
        "registered_time": "2020-04-21T05:05:37.407Z",
        "scan_last_action_time": null,
        "scan_last_complete_time": null,
        "scan_status": null,
        "sensor_kit_type": "WINDOWS",
        "sensor_out_of_date": false,
        "sensor_pending_update": false,
        "sensor_states": [
          "ACTIVE",
          "LIVE_RESPONSE_NOT_RUNNING",
          "LIVE_RESPONSE_NOT_KILLED",
          "LIVE_RESPONSE_ENABLED",
          "SECURITY_CENTER_OPTLN_DISABLED"
        ],
        "sensor_version": "3.4.0.1097",
        "status": "DEREGISTERED",
        "target_priority": "MEDIUM",
        "uninstall_code": "9EFCKADP",
        "vdi_base_device": null,
        "virtual_machine": false,
        "virtualization_provider": "UNKNOWN",
        "windows_platform": null
      }
    ],
    "num_found": 6
}

Pesan output

Di Dinding Kasus, tindakan Perkaya Entitas memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully enriched entities: ENTITY_ID_LIST` `No entities were enriched.` `Action was not able to find VMware Carbon Black Cloud info to enrich the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	Tindakan berhasil.
`Failed to execute Enrich Entities action! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully enriched entities: ENTITY_ID_LIST

No entities were enriched.

Action was not able to find VMware Carbon Black Cloud info to enrich the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Failed to execute Enrich Entities action! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Menutup Notifikasi VMware Carbon Black Cloud

Tutup notifikasi VMware Carbon Black Cloud.

Dalam peristiwa yang dibuat oleh VMware Carbon Black Cloud Alerts Connector, kolom Event.id dapat diteruskan sebagai placeholder untuk ID pemberitahuan guna menutup pemberitahuan dalam tindakan Tutup Pemberitahuan VMware Carbon Black Cloud.

Tindakan ini menerima ID pemberitahuan dalam format alfanumerik seperti 27162661199ea9a043c11ea9a29a93652bc09fd, bukan dalam format yang muncul di UI sebagai DONAELUN.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
ID pemberitahuan	String	Tidak berlaku	Ya	ID pemberitahuan yang akan ditutup di server VMware Carbon Black Cloud. Tentukan ID pemberitahuan dalam format alfanumerik seperti `27162661199ea9a043c11ea9a29a93652bc09fd`, bukan dalam format yang muncul di UI sebagai `DONAELUN`.
Alasan penolakan	DDL	Tidak ada alasan penolakan	Tidak	Alasan penolakan pemberitahuan VMware Carbon Black Cloud. Kemungkinan nilainya adalah sebagai berikut: Tidak ada alasan penolakan Selesai Diselesaikan - Tidak berbahaya/Diketahui baik Duplikat/Pembersihan Lainnya
Penetapan	DDL	Tidak ada	Tidak	Nilai penentuan yang akan ditetapkan untuk pemberitahuan. Kemungkinan nilainya adalah sebagai berikut: Tidak ada Positif benar Positif palsu
Pesan untuk penutupan notifikasi	String	Tidak berlaku	Tidak	Pesan untuk ditambahkan ke penutupan pemberitahuan.

Kasus penggunaan

Menutup atau menutup pemberitahuan VMware Carbon Black Cloud berdasarkan analisis yang dilakukan di Google SecOps SOAR.

Setelah pemberitahuan diproses di Google SecOps SOAR, agar status pemberitahuan tetap disinkronkan antara VMware Carbon Black Cloud dan Google SecOps SOAR, pengguna memerlukan tindakan yang akan menutup (menutup) pemberitahuan VMware Carbon Black Cloud dari Google SecOps SOAR.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Tutup Pemberitahuan VMware Carbon Black Cloud:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pesan output

Di Dinding Kasus, tindakan Tutup Pemberitahuan VMware Carbon Black Cloud memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully dismissed VMware Carbon Black Cloud alert with alert id ALERT_ID` `Failed to dismiss VMware Carbon Black Cloud alert! Error is ERROR_REASON`	Tindakan berhasil.
`Failed to execute Dismiss alert action! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully dismissed VMware Carbon Black Cloud alert with alert id ALERT_ID

Failed to dismiss VMware Carbon Black Cloud alert! Error is ERROR_REASON

Tindakan berhasil.

Failed to execute Dismiss alert action! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Memperbarui Kebijakan untuk Perangkat menurut ID Kebijakan

Ubah kebijakan pada sensor VMware Carbon Black Cloud di host. Cakupan tindakan adalah entitas Alamat IP atau Host.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
ID Kebijakan	Bilangan bulat	Tidak berlaku	Ya	Tentukan kebijakan untuk dikaitkan dengan sensor VMware Carbon Black Cloud.

Kasus penggunaan

Buat tugas update kebijakan di server VMware Carbon Black Cloud dari Google SecOps SOAR.

Saat menganalisis pemberitahuan, petugas respons insiden melihat bahwa host yang sama menghasilkan beberapa pemberitahuan positif palsu dalam waktu singkat. Mereka dapat menggunakan tindakan ini untuk membuat tugas update kebijakan yang mengubah kebijakan sensor menjadi kurang ketat.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Perbarui Kebijakan untuk Perangkat menurut ID Kebijakan:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pesan output

Di Dinding Kasus, tindakan Perbarui Kebijakan untuk Perangkat menurut ID Kebijakan memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully changed device policy to DEVICE_POLICY for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Action was not able assign policy DEVICE_POLICY for VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	Tindakan berhasil.
`Failed to execute action! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully changed device policy to DEVICE_POLICY for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Action was not able assign policy DEVICE_POLICY for VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Failed to execute action! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Pemindaian Latar Belakang Perangkat

Buat tugas pemindaian latar belakang perangkat di server VMware Carbon Black Cloud yang didasarkan pada entitas Alamat IP atau Host.

Kasus penggunaan

Buat tugas pemindaian latar belakang untuk host menggunakan sensor VMware Carbon Black Cloud dari Google SecOps SOAR.

Saat menganalisis pemberitahuan, responder insiden melihat bahwa host mungkin terkompromi. Responder insiden dapat menggunakan tindakan ini untuk meminta pemindaian latar belakang sesuai permintaan host. Pemindaian ini memeriksa apakah ada file yang dapat dieksekusi mencurigakan lainnya di host dan sensor di host membuat pemberitahuan untuk file yang dapat dieksekusi mencurigakan ini.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Pemindaian Latar Belakang Perangkat:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pesan output

Di Dinding Kasus, tindakan Pemindaian Latar Belakang Perangkat memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully created a background scan task for the following entities: ENTITY_ID_LIST` `No tasks were created` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	Tindakan berhasil.
`Failed to execute action! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully created a background scan task for the following entities: ENTITY_ID_LIST

No tasks were created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Failed to execute action! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Mengaktifkan Mode Bypass untuk Perangkat

Aktifkan tugas mode bypass untuk perangkat di server VMware Carbon Black Cloud. Tugas ini didasarkan pada entitas Alamat IP atau Host SOAR SecOps Google.

Kasus penggunaan

Buat tugas Aktifkan Mode Bypass di server VMware Carbon Black Cloud dari Google SecOps SOAR.

Saat menganalisis pemberitahuan yang terkait dengan sensor atau host platform tertentu, petugas penanganan insiden menyadari bahwa sensor tersebut membuat beberapa pemberitahuan positif palsu. Mereka dapat menggunakan tindakan ini untuk mengaktifkan mode melewati untuk melacak peristiwa yang diproses oleh agen jarak jauh sebagai pemberitahuan dan memperbarui kebijakan.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Aktifkan Mode Bypass untuk Perangkat:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pesan output

Di Dinding Kasus, tindakan Aktifkan Mode Bypass untuk Perangkat memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully created enable bypass mode task for the following entities: ENTITY_ID_LIST` `No taskswere created` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	Tindakan berhasil.
`Failed to execute action! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully created enable bypass mode task for the following entities: ENTITY_ID_LIST

No taskswere created

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Failed to execute action! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Menonaktifkan Mode Bypass untuk Perangkat

Buat tugas mode melewati penonaktifan untuk perangkat di server VMware Carbon Black Cloud. Tugas ini didasarkan pada entitas IP Address atau Host Google SecOps SOAR.

Kasus penggunaan

Setelah mengaktifkan mode lewati pada sensor tertentu dan memecahkan masalah konfigurasi dan kebijakan VMware Carbon Black Cloud, petugas penanganan insiden memutuskan bahwa sensor Carbon Black berfungsi seperti yang diharapkan dan tidak perlu berfungsi dalam mode lewati. Mereka menjalankan tindakan Buat Tugas Mode Bypass Nonaktif untuk Perangkat guna membuat tugas untuk menonaktifkan mode bypass di host tertentu.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Nonaktifkan Mode Bypass untuk Perangkat:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pesan output

Di Dinding Kasus, tindakan Nonaktifkan Mode Bypass untuk Perangkat memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully created disable bypass mode task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	Tindakan berhasil.
`Failed to execute action! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully created disable bypass mode task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Failed to execute action! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Mengarantina Perangkat

Buat tugas perangkat karantina di server VMware Carbon Black Cloud berdasarkan entitas IP Address atau Host Google SecOps SOAR.

Kasus penggunaan

Responder insiden melihat bahwa host menunjukkan tanda-tanda telah disusupi dan dapat menggunakan tugas ini untuk mengarantinanya.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Karantina Perangkat:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Karantina Perangkat:

[
  {
    "Entity": "siemplify-ID",
    "EntityResult": {
      "status": "done"
    }
  }
]

Pesan output

Di Dinding Kasus, tindakan Karantina Perangkat memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully created quarantine device task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	Tindakan berhasil.
`Failed to execute action! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Failed to execute action! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Membatalkan Karantina Perangkat

Buat tugas hapus karantina perangkat di server VMware Carbon Black Cloud berdasarkan entitas IP Address atau Host Google SecOps SOAR.

Kasus penggunaan

Setelah menganalisis dan memperbaiki pemberitahuan terkait host tertentu yang dikelola oleh VMware Carbon Black Cloud, petugas penanganan insiden menemukan bahwa host tersebut tidak terganggu. Mereka menjalankan tindakan Unquarantine Device untuk membuat tugas host unquarantine di server VMware Carbon Black Cloud dan terhubung ke host.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Unquarantine Device:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pesan output

Di Dinding Kasus, tindakan Unquarantine Device memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully created quarantine device task for the following entities: ENTITY_ID_LIST` `No tasks were created.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	Tindakan berhasil.
`Failed to execute action! Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully created quarantine device task for the following entities: ENTITY_ID_LIST

No tasks were created.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Failed to execute action! Error is
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Menjalankan Penelusuran Proses Entity

Gunakan tindakan ini untuk menelusuri informasi tentang proses yang disimpan di VMware Carbon Black Cloud.

Tindakan ini berjalan di entity berikut:

Alamat IP
Host
Pengguna
Hash
Proses

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Mulai dari Baris	Bilangan bulat	0	Tidak	Tentukan baris untuk mengambil data.
Jumlah Baris Maksimum yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan berapa banyak baris yang harus ditampilkan oleh tindakan.
Buat Insight	Kotak centang	Tidak dipilih	Tidak	Jika dipilih, tindakan ini akan membuat insight SOAR Google SecOps yang didasarkan pada informasi proses dari Carbon Black Cloud.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia

Pengayaan entitas

Kolom pengayaan	Logika
IsSuspicous	Setel ke True jika data yang ditampilkan mencakup kategori pemberitahuan (`alert_category`) yang disetel ke `THREAT` dan daftar ID pemberitahuan (`alert_ids`) yang terkait dengan proses.

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Penelusuran Proses Entitas Eksekusi:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Penelusuran Proses Entitas Eksekusi:

{
   "results": [
       {
           "alert_category": [
               "THREAT"
           ],
           "alert_id": [
               "19183229-384f-49a7-8ad7-87d0db243fcc",
               "4dfc6aed-656d-41d1-9568-0de349d7a8b3",
               "8eb04992-ed94-4471-8a71-fd78bad887de",
               "ac3b3b3a-f4ce-41dc-9de8-123d5a1e2572",
               "edc046a0-98f0-43eb-b3c0-a67469c11d19",
               "f365a912-1d79-421e-bccb-f57b52100be8"
           ],
           "backend_timestamp": "2021-02-02T18:38:46.520Z",
           "childproc_count": 0,
           "crossproc_count": 0,
           "device_external_ip": "161.47.37.87",
           "device_group_id": 0,
           "device_id": 3602123,
           "device_installed_by": "sadiya@acalvio.com",
           "device_internal_ip": "172.26.115.53",
           "device_location": "UNKNOWN",
           "device_name": "desktop1-win10",
           "device_os": "WINDOWS",
           "device_os_version": "Windows 10 x64",
           "device_policy": "test",
           "device_policy_id": 32064,
           "device_target_priority": "HIGH",
           "device_timestamp": "2020-08-19T16:31:20.887Z",
           "document_guid": "sF1Ug1--SEyLWljQrWe8NA",
           "event_threat_score": [
               6
           ],
           "filemod_count": 0,
           "ingress_time": 1612291119946,
           "modload_count": 0,
           "netconn_count": 0,
           "org_id": "7DESJ9GN",
           "parent_effective_reputation": "KNOWN_MALWARE",
           "parent_guid": "7DESJ9GN-0036f6cb-000026d4-00000000-1d676428bd025e2",
           "parent_hash": [
               "86deb998e6b628755a1049a54b8863d32752d6176fb1ef3b7c4ee08c1f25edbc"
           ],
           "parent_name": "c:\\windows\\system32\\windowspowershell\\v1.o\\powershell.exe",
           "parent_pid": 9940,
           "parent_reputation": "KNOWN_MALWARE",
           "process_cmdline": [
               "powershell.exe -ep bypass"
           ],
           "process_cmdline_length": [
               25
           ],
           "process_effective_reputation": "COMPANY_BLACK_LIST",
           "process_guid": "7DESJ9GN-0036f6cb-000005b8-00000000-1d676428bdf1285",
           "process_hash": [
               "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
               "cda48fc75952ad12d99e526d0b6bf70a"
           ],
           "process_name": "c:\\windows\\system32\\windowspowershell\\v1.0\\powershell.exe",
           "process_pid": [
               1464
           ],
           "process_reputation": "COMPANY_BLACK_LIST",
           "process_sha256": "908b64b1971a979c7e3e8ce4621945cba84854cb98d76367b791a6e22b5f6d53",
           "process_start_time": "2020-08-19T16:05:24.057Z",
           "process_username": [
               "DESKTOP1-WIN10\\acalvio"
           ],
           "regmod_count": 0,
           "scriptload_count": 0,
           "watchlist_hit": [
               "BeCXz92RjiQxN1PnYlM6w:SdJksR9SsWuLCJNeBsNPw:10",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:7",
               "BeCXz92RjiQxN1PnYlM6w:s24xyq8SFapmQEMXv9yw:8"
           ]
       }
   ],
   "num_found": 1,
   "num_available": 1,
   "approximate_unaggregated": 6,
   "num_aggregated": 6,
   "contacted": 47,
   "completed": 47
}

Pesan output

Di Repositori Kasus, tindakan Penelusuran Proses Entitas Eksekusi memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Process information was found for the following entities ENTITY_ID_LIST` `Process information was not found for all of the provided entities.` `Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST` `Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST`	Tindakan berhasil.
`Error executing action "Execute Entity Processes Search". Error is ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Process information was found for the following entities ENTITY_ID_LIST

Process information was not found for all of the provided entities.

Action was not able to find matching VMware Carbon Black Cloud devices for the following entities: ENTITY_ID_LIST

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Error executing action "Execute Entity Processes Search". Error
      is ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Mencantumkan Penggantian Reputasi

Gunakan tindakan ini untuk mencantumkan penggantian reputasi yang dikonfigurasi di VMware Carbon Black Cloud.

Tindakan ini tidak dijalankan di entity.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Daftar Penggantian Reputasi	DDL	Tidak Ditentukan Nilai yang memungkinkan: Tidak Ditentukan White_List Black_List	Tidak	Menentukan tindakan daftar penggantian yang harus ditampilkan.
Jenis Penggantian Reputasi	DDL	Tidak Ditentukan Nilai yang memungkinkan: Tidak ditentukan SERTIFIKAT SHA256 IT_TOOL	Tidak	Tindakan jenis penggantian yang ditentukan harus ditampilkan.
Mulai dari Baris	Bilangan bulat	0	Tidak	Tentukan dari baris mana tindakan harus mengambil data.
Jumlah Baris Maksimum yang Akan Ditampilkan	Bilangan bulat	50	Tidak	Tentukan berapa banyak baris yang harus ditampilkan oleh tindakan.
Urutan Penyortiran Baris	DDL	ASC Nilai yang memungkinkan: ASC DESC		Tentukan urutan penyortiran untuk baris yang ditampilkan. Baris diurutkan berdasarkan nilai `create_time`.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia

Tabel repositori kasus

Di Dinding Kasus, Daftar Penggantian Reputasi menyediakan tabel berikut:

Tabel SHA-256

Nama tabel: Penggantian Reputasi SHA-256 yang Ditemukan

Kolom tabel:
- Hash SHA-256
- Nama file
- ID
- Daftar Penggantian
- Deskripsi
- Sumber
- Referensi Sumber
- Waktu Pembuatan
- Dibuat Oleh
Tabel CERT

Nama tabel: Penggantian Reputasi CERT yang Ditemukan

Kolom tabel:
- Otoritas Sertifikat
- Ditandatangani Oleh
- ID
- Daftar Penggantian
- Deskripsi
- Sumber
- Referensi Sumber
- Waktu Pembuatan
- Dibuat Oleh
Tabel ALAT IT

Nama tabel: Found IT_TOOL Reputation Overrides

Kolom tabel:
- Jalur Alat IT
- Sertakan Proses Turunan
- ID
- Daftar Penggantian
- Deskripsi
- Sumber
- Referensi Sumber
- Waktu Pembuatan
- Dibuat Oleh

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan List Reputation Overrides:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Reputation Overrides untuk sertifikat:

{
   "num_found": 2,
   "results": [
       {
           "id": "6b040826d43a11eb85899b2a3fb7559d",
           "created_by": "user@example.com",
           "create_time": "2021-06-23T15:48:13.355Z",
           "override_list": "WHITE_LIST",
           "override_type": "CERT",
           "description": "",
           "source": "APP",
           "source_ref": null,
           "signed_by": "Example Software Corp.",
           "certificate_authority": "Symantec Class 3 SHA256 Code Signing CA"
       }
   ]
}

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Reputation Overrides untuk hash SHA-256:

{
   "num_found": 25,
   "results": [
       {
           "id": "0a0d2bf89d4d11ebbef6695028ab76fe",
           "created_by": "I2TK7ET355",
           "create_time": "2021-04-14T18:12:57.161Z",
           "override_list": "WHITE_LIST",
           "override_type": "SHA256",
           "description": "Test Data",
           "source": "APP",
           "source_ref": null,
           "sha256_hash": "f6a55db64b3369e7e0ce9abe8046c89ff3714c15c3174f04c10390c17af16f0e",
           "filename": null
       }
   ]
}

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Reputation Overrides untuk alat IT:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Pesan output

Di Repositori Kasus, tindakan Mencantumkan Penggantian Reputasi memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Reputation overrides found.` `No reputation overrides found.`	Tindakan berhasil.
`Error executing action "List Reputation Overrides". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Reputation overrides found.

No reputation overrides found.

Tindakan berhasil.

Error executing action "List Reputation Overrides". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Membuat Penggantian Reputasi untuk Sertifikat

Buat penggantian reputasi untuk sertifikat. Untuk mengetahui informasi selengkapnya tentang penggantian reputasi, lihat Penggantian Reputasi.

Tindakan ini tidak dijalankan di entity.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Otoritas Sertifikat	String	Tidak berlaku	Tidak	Tentukan otoritas sertifikat yang mengizinkan validitas sertifikat yang akan ditambahkan ke penggantian reputasi.
Ditandatangani Oleh	String		Ya	Tentukan nama penandatangan yang akan ditambahkan ke penggantian reputasi.
Deskripsi	String	Tidak berlaku	Tidak	Tentukan deskripsi untuk penggantian reputasi yang dibuat.
Daftar Penggantian Reputasi	DDL	Tidak Ditentukan	Ya	Tentukan daftar penggantian yang akan dibuat.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Buat Penggantian Reputasi untuk Sertifikat:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Buat Penggantian Reputasi untuk Sertifikat:

{
   "id": "fb19756cf03311eb81e9bf7658b8ce59",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:12:41.168Z",
   "override_list": "WHITE_LIST",
   "override_type": "CERT",
   "description": "An override for a CERT",
   "source": "APP",
   "source_ref": null,
   "signed_by": "Test signer for override",
   "certificate_authority": "test cert ca"
}

Pesan output

Di Dinding Kasus, tindakan Buat Penggantian Reputasi untuk Sertifikat memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully created new reputation override: OVERRIDE_ID` `Action failed to create a new certificate reputation override. Reason:ERROR_REASON`	Tindakan berhasil.
`Error executing action because Reputation Override List is not specified.` `Error executing action "Create a Reputation Override for Certificate". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully created new reputation override: OVERRIDE_ID

Action failed to create a new certificate reputation override. Reason:ERROR_REASON

Tindakan berhasil.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for
      Certificate". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Membuat Penggantian Reputasi untuk Hash SHA-256

Buat penggantian reputasi untuk hash yang diberikan dalam format SHA-256. Untuk mengetahui informasi selengkapnya tentang penggantian reputasi, lihat Penggantian Reputasi.

Tindakan ini berjalan di entity FileHash jika disediakan.

Anda dapat memberikan hash SHA-256 sebagai entity (artefak) FileHash Google SecOps SOAR atau sebagai parameter input tindakan. Jika hash diteruskan ke tindakan sebagai entity dan parameter input, tindakan akan dijalankan pada parameter input.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Hash SHA-256	String	Tidak berlaku	Tidak	Tentukan nilai hash SHA-256 untuk membuat penggantian.
Nama file	String	Tidak berlaku	Ya	Tentukan nama file yang sesuai untuk ditambahkan ke penggantian reputasi.
Deskripsi	String	Tidak berlaku	Tidak	Tentukan deskripsi untuk penggantian reputasi yang dibuat.
Daftar Penggantian Reputasi	DDL	Tidak Ditentukan	Ya	Tentukan daftar penggantian yang akan dibuat.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Buat Penggantian Reputasi untuk Hash SHA-256:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Buat Penggantian Reputasi untuk Hash SHA-256:

{
   "id": "1ea6c923f03211eb83cf87b4dce84539",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T05:59:21.821Z",
   "override_list": "BLACK_LIST",
   "override_type": "SHA256",
   "description": "An override for a sha256 hash",
   "source": "APP",
   "source_ref": null,
   "sha256_hash": "af62e6b3d475879c4234fe7bd8ba67ff6544ce6510131a069aaac75aa92aee7a",
   "filename": "foo.exe"
}

Pesan output

Di Dinding Kasus, tindakan Buat Penggantian Reputasi untuk Hash SHA-256 memberikan pesan output berikut:

Pesan output Deskripsi pesan

Pesan output	Deskripsi pesan
`Successfully created reputation override for the following entities: ENTITY_ID_LIST` `Action failed to to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR` `No reputation overrides were created.`	Tindakan berhasil.
`Error executing action because wrong hash format was provided. Action is working only with Sha-256 hashes.` `Error executing action because Reputation Override List is not specified.` `Error executing action "Create a Reputation Override for SHA-256 Hash". Reason: ERROR_REASON`	Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial.

Successfully created reputation override for the following entities: ENTITY_ID_LIST

Action failed to to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

No reputation overrides were created.

Tindakan berhasil.

Error executing action because wrong hash format was provided. Action is working only with Sha-256 hashes.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for SHA-256 Hash". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Membuat Penggantian Reputasi untuk Alat IT

Gunakan tindakan ini untuk membuat penggantian reputasi untuk alat IT tertentu seperti Jira atau ServiceNow. Penggantian reputasi didasarkan pada nama file dan jalur. Untuk mengetahui informasi selengkapnya tentang penggantian reputasi, lihat Penggantian Reputasi.

Tindakan ini dijalankan pada entity File jika disediakan.

Anda dapat memberikan nama file sebagai entitas (artefak) File SOAR Google SecOps atau sebagai parameter input tindakan. Jika nama file diteruskan ke tindakan sebagai entity dan parameter input, tindakan akan menggunakan parameter input. Tindakan ini menambahkan nama file ke parameter Jalur File untuk mendapatkan jalur yang dihasilkan dan menambahkan jalur ke penggantian.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama File	String	Tidak berlaku	Tidak	Tentukan nama file yang sesuai untuk ditambahkan ke penggantian reputasi.
Jalur File	String	Tidak berlaku	Ya	Tentukan jalur tempat alat IT terkait disimpan di disk untuk menambahkan jalur ke penggantian reputasi. Contohnya adalah sebagai berikut: `C\\TMP\\`.
Sertakan Proses Turunan	Kotak centang	Tidak dipilih	Tidak	Jika dipilih, sertakan proses turunan alat IT dalam daftar yang disetujui.
Deskripsi	String	Tidak berlaku	Tidak	Tentukan deskripsi untuk penggantian reputasi yang dibuat.
Daftar Penggantian Reputasi	DDL	Tidak Ditentukan	Ya	Tentukan daftar penggantian yang akan dibuat.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Buat Penggantian Reputasi untuk Alat IT:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan Buat Penggantian Reputasi untuk Alat IT:

{
   "id": "067ebeeaf03311eb8bb20bf76c87cd52",
   "created_by": "HZ9PEI2E3L",
   "create_time": "2021-07-29T06:05:50.790Z",
   "override_list": "BLACK_LIST",
   "override_type": "IT_TOOL",
   "description": "An override for an IT_TOOL",
   "source": "APP",
   "source_ref": null,
   "path": "C:\\TMP\\TMP\\TMP\\foo.exe",
   "include_child_processes": false
}

Pesan output

Di Dinding Kasus, tindakan Buat Penggantian Reputasi untuk Alat IT memberikan pesan output berikut:

Pesan output Deskripsi pesan

Successfully created reputation override for the following entities: ENTITY_ID_LIST

No reputation overrides were created.

Action failed to create reputation override for the following entities: ENTITY_ID_LIST + API_ERROR

Tindakan berhasil.

Error executing action because Reputation Override List is not specified.

Error executing action "Create a Reputation Override for IT Tool". Reason: ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Menghapus Penggantian Reputasi

Menghapus penggantian reputasi menggunakan ID penggantian reputasi yang diberikan. Untuk mengetahui informasi selengkapnya tentang penggantian reputasi, lihat Penggantian Reputasi.

Tindakan ini tidak dijalankan di entity.

Parameter

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
ID Penggantian Reputasi	String	Tidak berlaku	Ya	Tentukan ID penggantian reputasi yang akan dihapus.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tidak tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan Hapus Penggantian Reputasi:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Pesan output

Di Repositori Kasus, tindakan Hapus Penggantian Reputasi memberikan pesan output berikut:

Pesan output Deskripsi pesan

Successfully deleted reputation override OVERRIDE_ID_

No tasks were created.

Action failed to delete reputation override OVERRIDE_ID. Reason: ERROR_REASON

Multiple matches were found in VMware Carbon Black Cloud, taking first match for the following entities: ENTITY_ID_LIST

Tindakan berhasil.

Error executing action "Delete a Reputation Override". Reason:
      ERROR_REASON

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Mencantumkan Kerentanan Host

Gunakan tindakan ini untuk mencantumkan kerentanan yang telah ditemukan Carbon Black Cloud di host.

Tindakan ini berjalan di entity berikut:

Alamat IP
Hostname

Parameter

Nama Tampilan Parameter

Jenis

Nilai Default

Wajib

Deskripsi

Filter Tingkat Keseriusan

CSV

Tidak berlaku

Tidak

Tentukan daftar tingkat keparahan yang dipisahkan koma untuk kerentanan.

Jika tidak ada yang diberikan, tindakan ini akan menyerap semua kerentanan terkait.

Nilai yang mungkin: Kritis, Penting, Sedang, Rendah.

Jumlah Maksimum Kerentanan yang Akan Ditampilkan

Bilangan bulat

100

Tidak

Tentukan jumlah kerentanan yang akan ditampilkan untuk setiap host.

Jika tidak ada yang diberikan, tindakan akan memproses semua kerentanan terkait.

Output tindakan

Tindakan ini memberikan output berikut:

Jenis output tindakan
Lampiran repositori kasus	Tidak tersedia
Link repositori kasus	Tidak tersedia
Tabel repositori kasus	Tidak tersedia
Pengayaan entitas	Tidak tersedia
Hasil skrip	Tersedia
Hasil JSON	Tersedia
Pesan output	Tersedia

Hasil skrip

Tabel berikut menjelaskan nilai untuk output hasil skrip saat menggunakan tindakan List Host Vulnerabilities:

Nama Hasil Skrip	Opsi Nilai	Contoh
is_success	Benar atau Salah	is_success:False

Hasil JSON

Contoh berikut menjelaskan output hasil JSON yang diterima saat menggunakan tindakan List Host Vulnerabilities:

{
    "statistics": {
        "total": 123,
        "severity": {
            "critical": 1,
            "high": 1,
            "moderate": 1,
            "low": 1
        }
    },
    "details": [
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2015-2534",
                "cve_description": "Hyper-V in Microsoft Windows 8.1, Windows Server 2012 R2, and Windows 10 improperly processes ACL settings, which allows local users to bypass intended network-traffic restrictions via a crafted application, aka \"Hyper-V Security Feature Bypass Vulnerability.\"",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB3091287",
                "solution": null,
                "created_at": "2015-09-09T00:59:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        },
        {
            "os_product_id": "161_0",
            "category": "OS",
            "os_info": {
                "os_type": "WINDOWS",
                "os_name": "Microsoft Windows 10 Enterprise",
                "os_version": "10.0.10240",
                "os_arch": "64-bit"
            },
            "product_info": {
                "vendor": null,
                "product": null,
                "version": null,
                "release": null,
                "arch": null
            },
            "vuln_info": {
                "cve_id": "CVE-2017-8554",
                "cve_description": "The kernel in Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows an authenticated attacker to obtain memory contents via a specially crafted application.",
                "risk_meter_score": 0.9,
                "severity": "LOW",
                "fixed_by": "KB5016639",
                "solution": null,
                "created_at": "2017-06-29T13:29:00Z",
                "nvd_link": "http://example",
                "cvss_access_complexity": null,
                "cvss_access_vector": null,
                "cvss_authentication": null,
                "cvss_availability_impact": null,
                "cvss_confidentiality_impact": null,
                "cvss_integrity_impact": null,
                "easily_exploitable": null,
                "malware_exploitable": null,
                "active_internet_breach": null,
                "cvss_exploit_subscore": null,
                "cvss_impact_subscore": null,
                "cvss_vector": null,
                "cvss_v3_exploit_subscore": null,
                "cvss_v3_impact_subscore": null,
                "cvss_v3_vector": null,
                "cvss_score": null,
                "cvss_v3_score": null
            },
            "device_count": 1,
            "affected_assets": null
        }
    ]
}

Pesan output

Di Dinding Kasus, tindakan List Host Vulnerabilities memberikan pesan output berikut:

Pesan output Deskripsi pesan

Successfully retrieved vulnerabilities for the following hosts: ENTITIES

No vulnerabilities were found.

No vulnerabilities were found for the following hosts: ENTITIES

Tindakan berhasil.

Error executing action "List Host Vulnerabilities". Reason: ERROR_REASON

Error executing action "List Host Vulnerabilities". Reason: Invalid value provided in the "Severity Filter parameter. Possible values: Critical, High, Medium, Low, Unknown.

Tindakan gagal.

Periksa koneksi ke server, parameter input, atau kredensial.

Konektor

Konektor berikut tersedia untuk digunakan dalam integrasi VMware Carbon Black Cloud:

Alert Connector, tidak digunakan lagi. Plugin ini menggunakan data pemberitahuan Carbon Black yang sama untuk pemberitahuan dan peristiwa SOAR Google SecOps, sehingga data peristiwa Carbon Black tidak tercatat sama sekali. Sebagai gantinya, gunakan konektor Baseline atau konektor Pelacakan.
Baseline Connector mengambil alert dan peristiwa dari Carbon Black. Konektor ini tidak memantau apakah ada peristiwa baru yang ditambahkan ke pemberitahuan Carbon Black.
Tracking Connector mengambil pemberitahuan dan peristiwa dari Carbon Black, serta memantau apakah ada peristiwa baru yang ditambahkan ke pemberitahuan yang sudah diserap. Jika peristiwa baru muncul di notifikasi CB, konektor akan membuat notifikasi Google SecOps SOAR baru dengan peristiwa yang ditambahkan ke notifikasi Carbon Black.

Untuk mengetahui petunjuk tentang cara mengonfigurasi konektor di Google SecOps SOAR, lihat Mengonfigurasi konektor.

VMware Carbon Black Cloud Alerts Connector — Tidak digunakan lagi

Mendapatkan pemberitahuan dari VMware Carbon Black Cloud sebagai pemberitahuan Google SecOps SOAR untuk dianalisis di platform Google SecOps SOAR.

Ringkasan konektor

Konektor secara berkala terhubung ke endpoint VMware Carbon Black Cloud API dan menarik daftar pemberitahuan yang dibuat selama jangka waktu tertentu. Jika ada peringatan baru, konektor akan membuat peringatan Google SecOps SOAR berdasarkan peringatan Carbon Black Cloud dan menyimpan stempel waktu konektor sebagai waktu peringatan terakhir yang berhasil di-ingest. Selama eksekusi konektor berikutnya, konektor akan mengkueri Carbon Black API hanya untuk pemberitahuan yang dibuat setelah stempel waktu.

Konektor memeriksa peringatan duplikat (dikenal sebagai peringatan yang ditandai sebagai overflow) dan tidak membuat peringatan Google SecOps SOAR dari peringatan duplikat.

Mode Pengujian: Konektor memiliki mode pengujian untuk tujuan proses debug dan pemecahan masalah. Dalam mode pengujian, konektor melakukan hal berikut:

Tidak memperbarui stempel waktu terakhir dijalankan.
Mengambil pemberitahuan berdasarkan jumlah jam yang ditentukan untuk menarik pemberitahuan.
Menampilkan satu pemberitahuan untuk penyerapan.

Komunikasi Terenkripsi: Konektor mendukung komunikasi terenkripsi (SSL atau TLS).

Dukungan proxy: Konektor mendukung koneksi ke endpoint API menggunakan proxy untuk traffic HTTPS.

Dukungan Unicode: Konektor mendukung encoding Unicode untuk pemberitahuan yang diproses.

Izin API

Konektor Carbon Black Cloud menggunakan kredensial API yang sama dengan integrasi Carbon Black Cloud. Untuk mengetahui detail selengkapnya tentang konfigurasi API untuk Carbon Black Cloud, lihat bagian Prasyarat.

Parameter konektor

Untuk mengonfigurasi atau mengedit parameter konektor, Anda harus disertakan dalam grup izin Administrator di Google SecOps. Untuk mengetahui detail selengkapnya tentang grup izin bagi pengguna, lihat Bekerja dengan grup izin.

Gunakan parameter berikut untuk mengonfigurasi konektor:

Parameter	Jenis	Nilai default	Wajib	Deskripsi
Lingkungan	DDL	Tidak berlaku	Ya	Pilih lingkungan yang diperlukan. Misalnya, "Pelanggan Satu". Jika kolom Lingkungan pemberitahuan kosong, pemberitahuan akan dimasukkan ke lingkungan ini.
Jalankan Setiap	Bilangan bulat	0:0:0:10	Tidak	Pilih waktu untuk menjalankan koneksi.
Nama Kolom Produk	String	ProductName	Ya	Nama kolom tempat nama produk disimpan.
Nama Kolom Peristiwa	String	AlertName	Ya	Nama kolom tempat nama peristiwa disimpan.
ID Class Acara	String	AlertName	Tidak	Nama kolom yang digunakan untuk menentukan nama peristiwa (sub-jenis).
Waktu Tunggu Proses Python Habis	String	180	Ya	Batas waktu tunggu (dalam detik) untuk proses Python yang menjalankan skrip saat ini.
Nama Kolom Lingkungan	String	""	Tidak	Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan adalah `""`.
Pola Regex Lingkungan	String	.*	Tidak	Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah `""`.
Root API	String	Tidak berlaku	Ya	URL Root VMware Carbon Black Cloud API.
Kunci Organisasi	String	T/A	Ya	Kunci organisasi VMware Carbon Black Cloud.
ID API	String	T/A	Ya	ID VMware Carbon Black Cloud API (ID kunci API kustom).
Kunci Rahasia API	String	T/A	Ya	Kunci rahasia API VMware Carbon Black Cloud (kunci rahasia API kustom).
Selisih waktu dalam jam	Bilangan bulat	24	Ya	Jumlah jam untuk mengambil pemberitahuan.
Jumlah Maksimum Pemberitahuan Per Siklus	Bilangan bulat	10	Ya	Jumlah pemberitahuan yang akan diproses dalam satu eksekusi konektor.
Tingkat Keparahan Minimum yang Akan Diambil	Bilangan bulat	T/A	Tidak	Tingkat keparahan minimum pemberitahuan Carbon Black Cloud yang akan di-ingest ke Google SecOps SOAR.
Kolom Pemberitahuan yang akan digunakan untuk kolom Nama	String	jenis	Ya	Kolom pemberitahuan Carbon Black Cloud yang akan digunakan untuk kolom Nama Pemberitahuan SOAR Google SecOps. Nilai yang mungkin adalah type dan policy_name.
Kolom Pemberitahuan yang akan digunakan untuk Pembuat Aturan	String	jenis	Ya	Kolom pemberitahuan Carbon Black Cloud yang akan digunakan untuk kolom Google SecOps SOAR Alert Rule Generator. Nilai yang mungkin adalah type, category, dan policy_name.
Alamat Server Proxy	IP_OR_HOST	Tidak berlaku	Tidak	Server proxy yang akan digunakan untuk koneksi.
Nama Pengguna Server Proxy	String	Tidak berlaku	Tidak	Nama pengguna server proxy.
Sandi Server Proxy	Sandi	Tidak berlaku	Tidak	Sandi server proxy.

Aturan konektor

Konektor mendukung penggunaan proxy.

Konektor Baseline Pemberitahuan dan Peristiwa VMware Carbon Black Cloud

Ringkasan

Gunakan VMware Carbon Black Cloud Baseline Connector untuk menyerap pemberitahuan Carbon Black Cloud dan peristiwa terkait untuk pemberitahuan. Setelah menyerap pemberitahuan, Google SecOps menandainya sebagai telah diproses dan tidak mengambil pembaruan apa pun untuknya. Untuk mengambil pembaruan pemberitahuan, gunakan konektor Pelacakan.

Menyesuaikan kolom Nama Pemberitahuan dan Pembuat Aturan di Google SecOps

Konektor menyediakan opsi untuk menyesuaikan nilai kolom Nama Pemberitahuan dan Pembuat Aturan SOAR Google SecOps menggunakan template. Untuk template, konektor mendapatkan data dari data pemberitahuan Carbon Black Cloud yang ditampilkan dari API.

Berikut adalah contoh data pemberitahuan Carbon Black Cloud yang ditampilkan dari API. Data pemberitahuan mereferensikan kolom yang tersedia dalam pemberitahuan dan dapat digunakan untuk template:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Nama Tampilan Parameter	Jenis	Nilai Default	Wajib	Deskripsi
Nama Kolom Produk	String	ProductName	Ya	Nama kolom tempat nama produk disimpan.
Nama Kolom Peristiwa	String	AlertName	Ya	Nama kolom tempat nama peristiwa disimpan.
Nama Kolom Lingkungan	String	""	Tidak	Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan adalah `""`.
Pola Regex Lingkungan	String	.*	Tidak	Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah `""`.
Root API	String	`https://defense.conferdeploy.net`	Ya	URL root VMware Carbon Black Cloud API.
Kunci Organisasi	String	Tidak berlaku	Ya	Kunci organisasi VMware Carbon Black Cloud. Misalnya, 7DDDD9DD.
ID API	String	Tidak berlaku	Ya	ID VMware Carbon Black Cloud API (ID kunci API kustom).
Kunci Rahasia API	String	Tidak berlaku	Ya	Kunci rahasia API VMware Carbon Black Cloud (kunci rahasia API kustom).
Selisih waktu dalam jam	Bilangan bulat	24	Ya	Jumlah jam untuk mengambil pemberitahuan.
Jumlah Maksimum Pemberitahuan Per Siklus	Bilangan bulat	10	Ya	Jumlah pemberitahuan yang akan diproses dalam satu eksekusi konektor.
Tingkat Keparahan Minimum yang Akan Diambil	Bilangan bulat	T/A	Tidak	Tingkat keparahan minimum pemberitahuan Carbon Black Cloud yang akan diserap ke Google SecOps SOAR. Misalnya, 4 atau 7.
Kolom Pemberitahuan yang akan digunakan untuk kolom Nama	String	jenis	Ya	Kolom pemberitahuan Carbon Black Cloud yang akan digunakan untuk kolom Nama Pemberitahuan SOAR Google SecOps. Nilai yang mungkin adalah type dan policy_name.
Kolom Pemberitahuan yang akan digunakan untuk Pembuat Aturan	String	jenis	Ya	Kolom pemberitahuan Carbon Black Cloud yang akan digunakan untuk kolom Google SecOps SOAR Alert Rule Generator. Nilai yang mungkin adalah type, category, dan policy_name.
Reputasi Peringatan untuk Penyerapan	String	Tidak berlaku	Tidak	Reputasi Carbon Black Cloud dari pemberitahuan yang akan diproses. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma.
Batas Peristiwa yang Akan Diserap per Pemberitahuan	Bilangan bulat	25	Ya	Jumlah peristiwa yang akan di-ingest ke dalam setiap pemberitahuan Carbon Black Cloud.
Alamat Server Proxy	IP_OR_HOST	Tidak berlaku	Tidak	Server proxy yang akan digunakan untuk koneksi.
Nama Pengguna Server Proxy	String	Tidak berlaku	Tidak	Nama pengguna server proxy.
Sandi Server Proxy	Sandi	Tidak berlaku	Tidak	Sandi server proxy.
Template Nama Pemberitahuan	String	Tidak berlaku	Tidak	Jika ditentukan, konektor akan menggunakan nilai ini dari data pemberitahuan respons API Carbon Black Cloud untuk mengisi kolom Nama Pemberitahuan. Anda dapat memberikan placeholder dalam format berikut: [nama kolom]. Contoh: Pemberitahuan - [alasan]. Panjang maksimum untuk kolom ini adalah 256 karakter. Jika tidak ada yang diberikan atau Anda memberikan template yang tidak valid, konektor akan menggunakan nama pemberitahuan default.
Template Pembuat Aturan	String	T/A	Tidak	Jika ditentukan, konektor akan menggunakan nilai ini dari data pemberitahuan respons API Carbon Black Cloud untuk mengisi kolom Pembuat Aturan. Anda dapat memberikan placeholder dalam format berikut: [nama kolom]. Contoh: Pemberitahuan - [alasan]. Panjang maksimum untuk kolom ini adalah 256 karakter. Jika tidak ada yang diberikan atau Anda memberikan template yang tidak valid, konektor akan menggunakan nilai generator aturan default.

Aturan konektor

Konektor mendukung penggunaan proxy.

Konektor Pelacakan Peristiwa dan Pemberitahuan VMware Carbon Black Cloud

Ringkasan

Gunakan konektor VMware Carbon Black Cloud Tracking untuk mengambil pemberitahuan dan peristiwa terkait Carbon Black Cloud. Jika konektor mendeteksi peristiwa baru untuk pemberitahuan Carbon Black Cloud yang sudah diproses, konektor akan membuat pemberitahuan Google SecOps SOAR tambahan untuk setiap peristiwa baru yang terdeteksi.

Menyesuaikan kolom Nama Pemberitahuan dan Pembuat Aturan di Google SecOps

Konektor ini menyediakan opsi untuk menyesuaikan nilai kolom Nama Pemberitahuan dan Pembuat Aturan Google SecOps SOAR melalui template. Untuk template, konektor mendapatkan data dari data pemberitahuan Carbon Black Cloud yang ditampilkan oleh API.

Berikut adalah contoh data pemberitahuan Carbon Black Cloud yang ditampilkan dari API. Data pemberitahuan mereferensikan kolom yang tersedia dalam pemberitahuan dan dapat digunakan untuk template:

{
            "id": "aa751d91-6623-1a6b-8b4a-************",
            "legacy_alert_id": "aa751d91-6623-1a6b-8b4a-************",
            "org_key": "7DE****",
            "create_time": "2022-03-22T18:12:48.593Z",
            "last_update_time": "2022-03-22T18:13:12.504Z",
            "first_event_time": "2022-03-22T15:16:01.015Z",
            "last_event_time": "2022-03-22T15:45:25.316Z",
            "threat_id": "31c53f050ca571be0af1b29f2d06****",
            "severity": 5,
            "category": "THREAT",
            "device_id": 131****,
            "device_os": "WINDOWS",
            "device_os_version": "Windows 10 x64",
            "device_name": "**********",
            "device_username": "Administrator",
            "policy_name": "default",
            "target_value": "MEDIUM",
            "workflow": {
                "state": "OPEN",
                "remediation": null,
                "last_update_time": "2022-03-22T18:12:48.593Z",
                "comment": null,
                "changed_by": "Carbon Black"
            },
            "notes_present": false,
            "tags": null,
            "policy_id": 6525,
            "reason": "The application windowsazureguestagent.exe invoked another application (arp.exe).",
            "reason_code": "T_RUN_ANY",
            "process_name": "waappagent.exe",
            "device_location": "OFFSITE",
            "created_by_event_id": "a44e00b5aa0b11ec9973f78f4c******",
            "threat_indicators": [
                {
                    "process_name": "waappagent.exe",
                    "sha256": "a5664303e573266e0f9e5fb443609a7eb272f64680c38d78bce110384b37faca",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "services.exe",
                    "sha256": "dfbea9e8c316d9bc118b454b0c722cd674c30d0a256340200e2c3a7480cba674",
                    "ttps": [
                        "RUN_BLACKLIST_APP"
                    ]
                },
                {
                    "process_name": "svchost.exe",
                    "sha256": "f3feb95e7bcfb0766a694d93fca29eda7e2ca977c2395b4be75242814eb6d881",
                    "ttps": [
                        "COMPANY_BLACKLIST",
                        "MODIFY_MEMORY_PROTECTION",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                },
                {
                    "process_name": "windowsazureguestagent.exe",
                    "sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
                    "ttps": [
                        "ATTEMPTED_CLIENT",
                        "COMPANY_BLACKLIST",
                        "MITRE_T1082_SYS_INF_DISCOVERY",
                        "MITRE_T1106_NATIVE_API",
                        "MITRE_T1571_NON_STD_PORT",
                        "NON_STANDARD_PORT",
                        "RUN_ANOTHER_APP",
                        "RUN_SYSTEM_APP"
                    ]
                }
            ],
            "threat_activity_dlp": "NOT_ATTEMPTED",
            "threat_activity_phish": "NOT_ATTEMPTED",
            "threat_activity_c2": "NOT_ATTEMPTED",
            "threat_cause_actor_sha256": "9a9f62a1c153bdb7bbe8301c6d4f1abfad6035cfe7b6c1366e3e0925de6387c3",
            "threat_cause_actor_name": "windowsazureguestagent.exe",
            "threat_cause_actor_process_pid": "3504-132914439190103761-0",
            "threat_cause_process_guid": "7DESJ9GN-004fd50b-00000db0-00000000-1d834fa6d7246d1",
            "threat_cause_parent_guid": null,
            "threat_cause_reputation": "TRUSTED_WHITE_LIST",
            "threat_cause_threat_category": null,
            "threat_cause_vector": "UNKNOWN",
            "threat_cause_cause_event_id": "a74fa7a3aa0b11ec9b401dea771569d9",
            "blocked_threat_category": "UNKNOWN",
            "not_blocked_threat_category": "NON_MALWARE",
            "kill_chain_status": [
                "INSTALL_RUN"
            ],
            "sensor_action": null,
            "run_state": "RAN",
            "policy_applied": "NOT_APPLIED",
            "type": "CB_ANALYTICS",
            "alert_classification": null
        }

Parameter konektor

Gunakan parameter berikut untuk mengonfigurasi konektor:

Parameter	Jenis	Nilai default	Wajib	Deskripsi
Nama Kolom Produk	String	ProductName	Ya	Nama kolom tempat nama produk disimpan.
Nama Kolom Peristiwa	String	AlertName	Ya	Nama kolom tempat nama peristiwa disimpan.
Nama Kolom Lingkungan	String	""	Tidak	Nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan adalah `""`.
Pola Regex Lingkungan	String	.*	Tidak	Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom `Environment Field Name`. Dengan parameter ini, Anda dapat memanipulasi kolom lingkungan menggunakan logika ekspresi reguler. Gunakan nilai default `.*` untuk mengambil nilai `Environment Field Name` mentah yang diperlukan. Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah `""`.
Root API	String	`https://defense.conferdeploy.net`	Ya	URL root VMware Carbon Black Cloud API.
Kunci Organisasi	String	Tidak berlaku	Ya	Kunci organisasi VMware Carbon Black Cloud. Misalnya, 7DDDD9DD.
ID API	String	Tidak berlaku	Ya	ID VMware Carbon Black Cloud API (ID kunci API kustom).
Kunci Rahasia API	String	T/A	Ya	Kunci rahasia API VMware Carbon Black Cloud (kunci rahasia API kustom).
Selisih waktu dalam jam	Bilangan bulat	24	Ya	Jumlah jam untuk mengambil pemberitahuan.
Jumlah Maksimum Pemberitahuan Per Siklus	Bilangan bulat	10	Ya	Jumlah pemberitahuan yang akan diproses dalam satu eksekusi konektor.
Tingkat Keparahan Minimum yang Akan Diambil	Bilangan bulat	Tidak berlaku	Tidak	Tingkat keparahan minimum pemberitahuan Carbon Black Cloud yang akan di-ingest ke Google SecOps SOAR. Misalnya, 4 atau 7.
Kolom Pemberitahuan yang akan digunakan untuk kolom Nama	String	jenis	Ya	Kolom pemberitahuan Carbon Black Cloud yang akan digunakan untuk kolom Nama Pemberitahuan SOAR Google SecOps. Nilai yang mungkin adalah: type dan policy_name.
Kolom Pemberitahuan yang akan digunakan untuk Pembuat Aturan	String	jenis	Ya	Kolom pemberitahuan Carbon Black Cloud yang akan digunakan untuk kolom Google SecOps SOAR Alert Rule Generator. Nilai yang mungkin adalah type, category, dan policy_name.
Reputasi Peringatan untuk Penyerapan	String	Tidak berlaku	Tidak	Pemberitahuan reputasi pemberitahuan Carbon Black Cloud yang akan diproses. Parameter ini menerima beberapa nilai sebagai string yang dipisahkan koma.
Periode Penggabungan Acara (jam)	Bilangan bulat	24	Ya	Jumlah jam untuk mengambil peristiwa pemberitahuan.
Batas Peristiwa yang Akan Diserap per Pemberitahuan	Bilangan bulat	25	Ya	Jumlah peristiwa yang akan diproses dalam satu pemberitahuan Carbon Black Cloud untuk setiap iterasi konektor.
Alamat Server Proxy	IP_OR_HOST	Tidak berlaku	Tidak	Server proxy yang akan digunakan untuk koneksi.
Nama Pengguna Server Proxy	String	Tidak berlaku	Tidak	Nama pengguna server proxy.
Sandi Server Proxy	Sandi	Tidak berlaku	Tidak	Sandi server proxy.
Template Nama Pemberitahuan	String	Tidak berlaku	Tidak	Jika ditentukan, konektor akan menggunakan nilai ini dari data pemberitahuan respons API Carbon Black Cloud untuk mengisi kolom Nama Pemberitahuan. Anda dapat memberikan placeholder dalam format berikut: [nama kolom]. Contoh: Pemberitahuan - [alasan]. Panjang maksimum untuk kolom ini adalah 256 karakter. Jika tidak ada yang diberikan atau Anda memberikan template yang tidak valid, konektor akan menggunakan nilai nama pemberitahuan default.
Template Pembuat Aturan	String	Tidak berlaku	Tidak	Jika ditentukan, konektor akan menggunakan nilai ini dari data pemberitahuan respons API Carbon Black Cloud untuk mengisi kolom Pembuat Aturan. Anda dapat memberikan placeholder dalam format berikut: [nama kolom]. Contoh: Aturan - [alasan]. Panjang maksimum untuk kolom ini adalah 256 karakter. Jika tidak ada yang diberikan atau Anda memberikan template yang tidak valid, konektor akan menggunakan nilai generator aturan default.
Total Batas Peristiwa per Pemberitahuan	Bilangan bulat	100	Tidak	Jumlah total peristiwa yang diambil konektor untuk setiap pemberitahuan Carbon Black Cloud. Jika batas ini tercapai, konektor tidak akan mengambil peristiwa baru untuk pemberitahuan. Untuk tidak membatasi jumlah total peristiwa untuk setiap pemberitahuan, biarkan nilai parameter ini kosong.

Aturan konektor

Konektor mendukung penggunaan proxy.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.